Azure用户需更新PowerShell修补RCE漏洞CVE-2021-26701

Azure用户需更新PowerShell修补RCE漏洞CVE-2021-26701

微软敦促 Azure 用户尽快更新PowerShell 命令行工具,以防止影响 .NET Core 的关键远程代码执行漏洞。

该问题被跟踪为CVE-2021-26701(CVSS 评分:8.1),影响 PowerShell 7.0 和 7.1 版,并已分别在 7.0.6 和 7.1.3 版中修复。Windows PowerShell 5.1 不受该缺陷的影响。

PowerShell建立在 .NET 公共语言运行时 (CLR)之上,是一个跨平台的任务自动化实用程序,由命令行外壳、脚本语言和配置管理框架组成。

“由于文本编码的执行方式,.NET 5 和 .NET Core 中存在一个远程代码执行漏洞,”该公司今年 4 月初发布的一份公告中指出,并补充说问题存在于“ System.Text.Encodings.Web” ” 包,它提供了在 JavaScript、HTML 和 URL 中使用的用于编码和转义字符串的类型。

  • System.Text.Encodings.Web (version 4.0.0 – 4.5.0) – 在 4.5.1 版本中修复
  • System.Text.Encodings.Web(版本 4.6.0 – 4.7.1)——在版本 4.7.2 中修复
  • System.Text.Encodings.Web(5.0.0 版)——在 5.0.1 版中修复

CVE-2021-26701 最初由 Microsoft 作为其2021 年 2 月补丁星期二更新的一部分解决。鉴于没有缓解该漏洞的变通方法,强烈建议更新到最新版本。

微软的忠告

更新 PowerShell 版本 7.0 和 7.1 以防范漏洞

发布日期: 2021 年 7 月 1 日

如果您从 PowerShell 7.0 或 7.1 版管理您的 Azure 资源,我们已发布新版本的 PowerShell 以解决7.0 和 7.1 版中的.NET Core 远程代码执行漏洞
我们建议您尽快安装更新版本。

Windows PowerShell 5.1 不受此问题的影响。

必需的操作

为了最好地防范此漏洞,请尽快安装新的 PowerShell 版本
版本更新:• 版本7.07.0.6 
• 版本7.17.1.3

下载地址:

Leave a Reply

您的电子邮箱地址不会被公开。